我是春天安全的新手。 有人能为我提供使用spring 2.0.4进行x509证书身份验证的示例应用程序吗？您可以使用基本设置获得x509身份验证： <http> <x509: subject-principal-regex"(.*)" user-service-ref="myUserService"/> <intercept-url pattern="/**" access="ROLE_USER" requires-channel="https"/>

我需要有多个PRE_AUTHSpring安全过滤器。特别是，除了在Spring Security 3.0的SAML扩展中配置为PRE_AUTH的两个过滤器之外，我还需要使用PRE_AUTH过滤器。现有的SAML配置如下所示 在任何现有筛选器之前，都需要检查附加的PRE_AUTH筛选器（即：使用此身份验证方法进行身份验证的用户不应有机会使用SAML） 我考虑用下面的方法来改变它 这是可行的，还是需要一个更复杂的解决方案。非常老的问题，但仍然相关。使用spring的复合过滤器： <se

我正在配置一个web应用程序以使用spring安全性。我正在使用xml名称空间使用“”元素配置安全性，如下所述： 如文档所述，名称空间标记创建了一个“springSecurityFilterChain”bean，我可以使用web.xml中的“过滤器映射”将其映射到需要保护的URL filter> <filter-name>springSecurityFilterChain</filter-name> <filter-class>org.s

这是一个春季安全问题 在我的应用程序中，我有一个用户实体作为域对象。用户将被注册，并将使用存储在数据库中的凭据登录。My User domain对象包含支持Spring UserDetails对象的实现 挑战在于，即使在创建第一个用户之前，我也需要能够登录到应用程序。换句话说，我需要以“admin”身份登录以创建“admin”用户 为了确保我的Spring设置正常工作，我当前正在从SpringSecurityUserDetailsServiceImpl.loadUserByUsername（字符

我第一次在spring中开发应用程序。在第11行出现错误。有人能解决这个问题吗。我添加了spring-security-config.jar <?xml version="1.0" encoding="UTF-8"?> <beans:beans xmlns:beans="http://www.springframework.org/schema/beans" xmlns="http://www.springframework.org/schema/

我有一个Jax-RS应用程序，它将spring用于组件连接，将spring安全性用于身份验证和授权部分。 我一直在尝试用OAuth2和JWT令牌配置spring安全性，但没有任何好的示例可供遵循。 我唯一能找到的就是这个： 但它并没有真正阐明身份验证部分是如何完成的，例如如何获取令牌或如何发送令牌（cookies或标头） 有人知道这个特定设置的任何好例子吗 最好的。除了在原始帖子中提到的例子外，我还没有找到其他好的例子。 我已经成功地使它工作了。 对于任何感兴趣的人，我已经创造了。 当我找到一些

我在部署在Tomcat7服务器上的Spring安全应用程序上添加AOP特性。 由于我添加了AspectJ依赖项，所以应用程序运行良好 这是我的POM中的Maven依赖项： <properties> <spring.framework.version>4.0.5.RELEASE</spring.framework.version> <spring.security.version>3.2.4.RELEASE</spring.se

我尝试在login.xhtml表单中使用标准JSF机制实现CSRF保护，如下所示： faces-config.xml： <protected-views> <url-pattern>/login.xhtml</url-pattern> </protected-views> 我还创建了空的JSF页面，没有任何Spring元素，并且有相同的错误。Oracle关于CSRF保护的教程在我的Netbeans/Glassfish配置上没有任

让Spring SAML集成为我的IdP生成正确的元数据文件时，我遇到了一个问题。我获得了新的SHA256 SSL证书。我已经完成了创建适当密钥库的所有步骤，并设置了我的Spring安全配置文件。我几乎98%都是这样，但在生成的元数据文件中缺少一件事，我一辈子都无法弄清楚它为什么没有设置 以下是MetadataGeneratorFilter的ExtendedMetadata配置： <bean id="metadataGeneratorFilter" class="org.springfra

我有一个基本的springboot应用程序，其中添加了SpringSecurity。 当我通过在application.properties中指定server.context-path（比如/xyz）来更改应用程序上下文路径时，除spring security之外的所有端点都会按预期更改为/xyz/endpoint1。 Spring security仍然使用302 to/login重定向未经验证的请求 是否有必要强制spring security遵守spring boot config中设置的上

我有以下蚂蚁匹配模式： http .authorizeRequests().antMatchers("/proxy.stream*") .authenticated().and() .formLogin() .loginPage("/dashboard/login.html") .usernameParameter("userName") .passwo

我需要保证我的休息（） 但是我只需要保护从我的本地网络外部的访问，从我的本地网络我不需要保护 有可能这样做吗 tks一个想法是做IP白名单。然后，您可以执行预身份验证筛选器，对于来自这些IP的请求，该筛选器将使用身份验证对象（如设置通用系统会话）预填充请求，如以下回答所示：

我很难理解SpringBoot（v1.3.3）如何处理X-request-With:XMLHttpRequest头。我的理解是，这个头告诉Spring Boot，对于没有经过身份验证的会话的请求，返回一个401未经授权的错误，而不是一个302，该错误位于登录页面的某个位置 我已经将AngularJS客户端设置为发送任何路由的头，然后配置$http拦截器，通过显示对话框来处理401错误。对我来说不起作用，因为Spring启动服务器没有额外的安全配置 通过对CURL的一些调查： 似乎还需要提供-H“

如何在thymeleaf中合并sec:authorize和th:if <div class="form-group" sec:authorize="hasRole('ADMIN')" th:if="${myObjct.name!=null}"></div> 基本上，我需要将sec:authorize=“hasRole（'ADMIN'）”和th:if=“${myobject.name！=null}”组合在一起，而上面的代码不起作用，因为我希望如何在thymeleaf中

我遵循第12.0章中关于将spring与adfs一起用作IdP的说明，从这里开始： 我可以用第一个ADF成功登录应用程序。 但如果在其他ADF中使用另一个帐户作为第一个ADF的索赔提供者，我将失败 我还发现似乎有人找到了上面描述的解决方案 但我不知道细节。。。 返回到文档并仅找到 将NameID添加为“索赔规则名称”，选择“Active Directory”作为属性存储，选择“SAM帐户名称”作为LDAP属性，“名称ID”作为“传出索赔类型”，完成向导并确认索赔规则窗口，在ADFS 3.0中

这个问题我已经在这个网站上讨论过好几次了，但是大多数帖子都很老了。以下是我所经历的。我使用WSO2 IS 5.2作为我的IdP，我有两个基于java的web应用程序，托管在参与SSO的不同服务器上。每个webapp（SP）都实现了Spring SAML扩展。单点登录可以很好地工作，但单点注销只能部分工作。以下是测试用例： 访问webapp1上的安全资源 显示来自Idp（WSO2）的登录页面，用户登录 提供了来自webapp1的安全资源 访问webapp2上的安全资源 SAML请求被发送到Idp，

我创建了RESTfulWebSever，它向外部世界公开了大量API。我正在考虑使用outh2实现来保护这些API。我认为WS02产品适合我的用例。然而，我没有找到多少关于如何将Spring安全性（oauth）与WS02 Identity server集成的示例。任何关于这方面的建议都会很有帮助 WSo2 ESB在何处以及如何适应？我看到了wso2IS与ESB模块集成的文档。如果您想在不使用WSO2 API管理器的情况下保护webapp中定义的API，请查看以下资源： 另一种方法是通过WSO2

我们使用Oracle Access Manager为HP Service Request Catalog应用程序提供SSO 服务请求目录应用程序需要以远程用户头的形式提供用户ID，此远程用户将用于身份验证 因此，我们正在从Oracle Access Manager传递带有userid值的远程用户头 即使在传递远程用户头之后，身份验证也不会成功。在应用程序日志中，我们发现错误“SSO:身份验证失败，原因-在HTTP请求中找不到远程用户头” 服务请求目录应用程序正在使用SPRING security

当我为webflux应用程序编写一些测试时。我试图通过WebTestClient中的mutateWith（mockUser（）.password（“password”）添加凭据，但它导致NPE抛出 我使用bindToServer将测试客户端连接到正在运行的远程API，并尝试使用mutateWith（mockUser（）.password（“password”）向请求添加基本身份验证。测试结束时，它会抛出一个NPE 更新的源代码：在我研究了mockUser的源代码之后，它需要一个MockServe

我到目前为止所做的事 1） 限制用户多次登录。（使用Spring引导安全性） 提供的会话超时为30分钟（必需） 2） 关闭浏览器时终止/失效会话。（使用main.jsp中的beforeunload事件） })) 什么问题？ 我的spring boot应用程序支持多个选项卡，因为一个页面提供了在另一个选项卡中打开另一个页面的链接。 当我从打开的选项卡中关闭任何选项卡时，会话将被终止 如何处理以下情况 1） 是否仅在浏览器关闭事件上终止会话 2） 不是在关闭的选项卡上终止会话，而是在最后一个选项卡上

我是SAML新手，最近有人要求我使用SpringSecuritySAML扩展实现SSOSP 我能够实现整个SSO流程，它似乎工作正常，但我只想了解SAML的安全性 攻击者能否嗅探SAML响应，取出signatureValue和public证书并重新使用它们来发出另一个SSO请求？（这不考虑其他断言属性，如时间等） 我希望有人能启发我 干杯。您需要私钥才能生成新签名。公钥用于验证，私钥用于生成签名。我建议阅读互联网上关于PKI及其工作原理的众多文章中的一篇。您的证书可能建议存在其他形式的攻击，因此

Spring SAML扩展示例应用程序能否用于添加多个IDP？默认情况下，仅限SSO和IDP

我试图使用authorization_code grant type创建一个OAuth2Client，我可以授权用户并重定向url，但是当我尝试使用OAuth2RestTemplate访问资源时，我得到了401个未授权 我需要为OAuth2RestTemplate添加授权头做些什么吗？我认为Spring-oauth2将自己负责将头添加到OAuthRestTemplate中 也通过跟踪日志进行了验证 @GetMapping("/") public OAuth2User hello(@Aut

我试图将api访问权限限制为只访问自己的资源。遗憾的是，它不起作用。 目前，我可以访问“users/{userid}”上的每个用户数据。因此，如果我的userid是10，我也可以通过替换userid来访问11的数据 securityconing.java @SuppressWarnings（“SpringJavaAutowiringInspection”） @配置 @启用Web安全性 公共类SecurityConfig扩展了WebSecurity配置适配器{ @自动连线 私有JwtAuthent

我与jhipster和spring security合作 我可以将Ldap与我的登录集成，并且它可以毫无问题地工作 这是我的代码： @Component public class CustomAuthenticationManager implements AuthenticationManager { LdapAuthenticationProvider provider = null; private static final org.slf4j.Logger log = Lo

有人能帮我做以下事情吗。我已经很好地配置了spring身份验证，所以我可以使用spring通过数据库进行身份验证，并防止基于url等的访问。。。然而，我试图实现一个访问决策管理器，但我无法得到它抛出的类 2010-12-07 15:20:47,926 ERROR [main] FrameworkServlet - Context initialization failed org.springframework.beans.factory.BeanCreationException: Error

有人对使用SpringWebflow2.3和SpringSecurity进行文件上传有意见吗？每当我有一个带有enctype=“multipart/form data”的JSP页面时，它都会燃烧起来。我补充说： <bean id="multipartResolver" class="org.springframework.web.multipart.commons.CommonsMultipartResolver"> <!-- one of the properties

我需要在Glassfish 3中配置“客户端证书身份验证”。我尝试了许多场景，但无法配置。要求是-导入.cer文件的用户可以单独访问应用程序 因此，我们需要以这样一种方式进行配置，即我们需要验证上传到浏览器中的.cer文件（客户端正试图通过该文件访问应用程序） 验证证书文件后，我们需要显示登录屏幕（表单登录）。进一步验证用户的用户名/密码 我尝试了几种配置SN（在applicationCOntext-security.xml文件中），但没有成功 有谁能告诉我们如何配置spring安全性，以便客户

嗨，我是Spring的新手，我有以下问题： 我成功地实现了登录机制 在我的网站上，但我只知道如何让它工作 在指定的子页上： <http entry-point-ref="authenticationEntryPoint" auto-config="true"> <intercept-url pattern="/admin" access="ROLE_ADMIN" /> 我只想隐藏子页面上的choosen元素 对任何用户可见 例如，任何人都可以访问子页面

今天，我将正在开发的应用程序的spring安全版本从3.1.3升级到了3.1.4，我注意到org.springframework.security.authentication.encoding.ShaPasswordEncoder类上有一个弃用警告 因此，我切换到新的org.springframework.security.crypto.password.StandardPasswordEncoder实现 我让它工作，我可以注册一个新用户并在我的应用程序中登录，但是，正如我担心的那样，我无法使

我的应用程序中有一个角色约定机制，每个角色都遵循一种语法： APP_DEPARTMENT1_USER APP_DEPARTMENT1_AUDITOR APP_DEPARTMENT1_WHATEVER APP_DEPARTMENT2_... 我想配置Spring安全性，以便允许与给定后缀匹配的所有角色被授予访问web应用程序某个部分的权限。我盲目地尝试了（其中APP\u ADMINISTRATOR是我的默认管理员角色），但没有成功。当我以管理员身份登录时，我可以访问该页面，但当我尝试使用APP\

我正在设置Spring安全性以使用LDAP。我遇到的问题是，当Spring的org.springframework.security.ldap.userdetails.DefaultLdapAuthoritiesPopulator尝试获取用户权限时，出现了一个“无效DN”错误。我已经浏览了这个网站和其他网站上的许多其他帖子，但没有任何帮助。我猜我忽略了什么，但不知道是什么 这就是错误： org.springframework.dao.DataAccessResourceFailureExcept

MetadataGenerator中的断言使用者服务不支持HTTP_重定向绑定 当您检查org.springframework.security.saml.metadata.MetadataGenerator.java的源代码时，您会在buildSPSSODescriptor方法中找到以下注释 //断言使用者不得与HTTP重定向、配置文件424一起使用，这同样适用于HoK配置文件 有谁能告诉我，为什么会这样，因为我们有一个IdP要求使用带有重定向绑定的ACS URL。正如您在评论中看到的，SAM

我正在尝试为oauth2配置单独的身份验证服务器和资源服务器。 我能够成功地配置Authorization服务器，并能够进行身份验证和生成访问令牌。现在，我想配置一个资源服务器，它可以使用api端点与auth server对话，以验证访问令牌。 下面是我的资源服务器配置 @Configuration @EnableResourceServer @EnableWebSecurity public class Oauth2SecurityConfiguration extends WebSecuri

我在我的应用程序中使用Spring安全性，下面提到了配置 当用户从系统中注销并再次单击登录时，我想显示登录页面 @组件 @使能OAuth2SO 公共静态类LoginConfigurer扩展了WebSecurity配置适配器{ @凌驾 public void configure（HttpSecurity http）引发异常{ RequestMatcher csrfRequestMatcher=newrequestmatcher（）{ //在以下URL上启用CSFR保护 私有AntPathReque

我有spring MVC rest应用程序和前端应用程序，它们使用rest应用程序提供的服务。若未连接的用户尝试使用rest应用程序中的服务，则将调用连接web服务。 连接Web服务使用SpringSAML将用户连接到Active directory。 如何将连接传播到前端应用程序？实现使用Spring oauth2。我的RESTAPI是资源服务器，客户端Api是oauth2客户端。希望这会有所帮助请提供一些代码？我不知道要使用的机制。我的问题是我必须使用什么，我使用SpringOAuth2解决

我已经配置了SAML SSO，它工作正常。当会话过期时，它会在日志中显示以下内容 2017-04-15 15:14:16,933 [http-nio-7070-exec-8] INFO org.springframework.boot.actuate.audit.listener.AuditListener - AuditEvent [timestamp=Sat Apr 15 15:14:16 IST 2017, principal=anonymousUser, type=AUTHORIZAT

目前，swagger UI在没有任何安全方案的情况下公开。 需要为swagger UI实现基本身份验证。因此，每次在显示UI之前，它都会弹出用户名和密码 我已经实现了ApiKey授权，但无法为BasicAuth进行配置 春天很新

我最近在我的web应用程序中启用了CSRF保护。大约有100多个JSP页面包含表单提交。添加CSRF令牌的最佳方式是什么： <input type="hidden" name="${_csrf.parameterName}" value="${_csrf.token}"/> 这样，所有提交的表单都将包含此表单数据。我不想将此参数添加到每个表单提交中。因此我终于找到了一个可行的解决方案。基本上，我创建了一个自定义FormRenderer，如下所示： import com.sun

谢谢你抽出时间。 为了简单起见，我创建了一个示例服务，如下所示： @RestController @RequestMapping("/") public class ComputeController { @GetMapping("/add") public int add(@RequestParam("left") int left, @RequestParam("right") int right) { return left + right; }

我在Spring Security 4.2.5中定义了以下角色： 由于以下异常，无法加载和上下文： Caused by: java.lang.IllegalArgumentException: Failed to parse expression "ROLE_SOMETHING_COMPLETELY_DIFFERENT,ROLE_ONE,ROLE_TWO" at org.springframework.security.web.access.expression.ExpressionBase

我正在使用JHipster生成的Spring Social和Spring Security构建一个单页应用程序 我试图在用户通过某个社交身份验证提供商的身份验证后捕获原始查询参数 例如： 调用/signin/someprovider？show=someEntityId并在成功验证后将用户重定向到/signup/，我需要一种获取“someEntityId”的方法 我假设不同的http调用使得传递/存储参数变得困难。 是否有一些Spring内置的功能可以使用/重用，或者如何解决这个问题 更新 请求线

我已经在一个Mavennized项目中成功地在JSF2.0.1中配置了SpringSecurity4.2.3。我还添加了Spring安全性标记库作为依赖项，但没有按预期运行 security.xml： <beans:beans xmlns="http://www.springframework.org/schema/security" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:beans="http://ww

我有一个spring启动应用程序（2.1.6）和spring安全性。 我添加了“记住我”的功能，但不幸的是，服务器重启后，应用程序不记得用户 我的配置如下所示： .and().rememberMe().key("*****").tokenValiditySeconds(15768000) 我调试了TokenBasedMemberMeservices，发现在重启后cookie和计算之间有一个签名。 签名不同的原因是它们基于密码，并且在设置“记住我”cookie和读取cookie之间检索密码的方式

我无法运行saml2login示例。 当前，在尝试运行时，我被重定向到simplesaml-for-spring-saml.cfapps.io，但我遇到了一个错误 Metadata not found Unable to locate metadata for 'http://localhost:8080/saml2/service-provider-metadata/simplesamlphp' This is most likely a configuration problem o

Spring安全版本5.4.0 通常，客户机id和客户机机密是Oauth2提供程序提供的值，它们对于每个客户机都是永久性的，可以在配置文件中这样指定 spring: security: oauth2: client: registration: google: client-id: google-client-id client-secret: google-client-secret

我正在尝试使用springsaml作为SP，simplesamphp作为IdP来实现HoK概要文件 SP获取客户端证书，然后向IdP发送以下身份验证请求，无问题： <?xml version="1.0" encoding="UTF-8"?> <saml2p:AuthnRequest AssertionConsumerServiceURL="https://sp.com/saml/HoKSSO" Destination="https://localhost:844

无法将消息发送到ExecutorSubscribableChannel[clientInboundChannel] 我用springboot、spring security、spring WebSocket、stomp和sockjs开发了一个移动聊天应用程序。服务器运行在端口8082，客户端运行在端口8100。 我正在使用angular和sockjs客户端发送请求。当我尝试连接到STOMP端点时，它会在开发人员控制台（前端）和后端控制台发出错误。下面是跟踪， 从开发人员控制台： 正在打开Web套

我已经用一个RESTfulAPI使用SpringBoot实现了spring安全性，一切都很好地工作。 我不想阻止同一个客户端使用相同的用户名和密码多次登录。如何做到这一点？我能想到的唯一方法是通过IP识别客户端，然后每个客户端只允许一次登录。这里有一个关于如何在同一IP/客户端多次登录失败后阻止帐户的教程 也许它能给你一个解决问题的方法 请注意，这会带来一些问题，例如动态IP地址（用户在断开连接后会获得一个新的IP地址），如果多个用户使用同一个代理，因此所有用户都具有相同的IP地址。@dur

我读了一些关于oauth2协议及其概念的资料，如： 资源所有者 资源服务器 授权服务器 赠款类型等 spring社交是否使用oauth2协议 例如，如果我想在facebook上进行社交登录，那么facebook、appTest等的角色是什么，。。。 用oauth2术语 更新 经过大量的搜索，我找到了 但我仍然对oauth2的概念——授权服务器、资源服务器和。。。在spring social中。来自相关链接： Oauth规范于2007年首次发布，Oauth已成为 软件即服务提供商认证的标准方法